Должен ли я использовать No-Script?

10

Я слышал, что веб-браузер является наиболее вероятным источником вредоносного ПО на компьютере в эти дни. Я также слышал, что не нужно беспокоиться о вирусах в Linux. Итак, следует ли использовать расширение браузера, которое позволяет мне выборочно включать javascript для привилегированных доменов, таких как No-Script или Not-Script?

    
задан daithib8 04.04.2011 в 18:23
источник

3 ответа

13

Конечно!

Атакующие могут использовать вредоносные скрипты для выполнения нескольких атак, таких как XSS:

Cross-site scripting (XSS) is a type of computer security vulnerability typically found in web applications that enables malicious attackers to inject client-side script into web pages viewed by other users...

Подробнее в википедии .

Никакой скрипт не дает вам возможности контролировать все сценарии на веб-странице (или веб-сайте) и плагинах, которые он использует, например, flash, java и т. д. Вы добавляете доверенные сайты в белый список, а другим не разрешается запускать сценарии, если вы не разрешаете им (временно или постоянно).

A вопрос и ответ на веб-сайте без скрипта ( faq ) может содержать некоторые пояснения:

Почему я должен разрешать выполнение JavaScript, Java, Flash и плагинов только для доверенных сайтов?

JavaScript, Java and Flash, even being very different technologies, do have one thing in common: they execute on your computer code coming from a remote site. All the three implement some kind of sandbox model, limiting the activities remote code can perform: e.g., sandboxed code shouldn't read/write your local hard disk nor interact with the underlying operating system or external applications. Even if the sandboxes were bullet proof (not the case, read below) and even if you or your operating system wrap the whole browser with another sandbox (e.g. IE7+ on Vista or Sandboxie), the mere ability of running sandboxed code inside the browser can be exploited for malicious purposes, e.g. to steal important information you store or enter on the web (credit card numbers, email credentials and so on) or to "impersonate" you, e.g. in fake financial transactions, launching "cloud" attacks like Cross Site Scripting (XSS) or CSRF, with no need for escaping your browser or gaining privileges higher than a normal web page. This alone is enough reason to allow scripting on trusted sites only. Moreover, many security exploits are aimed to achieve a "privilege escalation", i.e. exploiting an implementation error of the sandbox to acquire greater privileges and perform nasty task like installing trojans, rootkits and keyloggers. This kind of attack can target JavaScript, Java, Flash and other plugins as well:

  1. JavaScript looks like a very precious tool for bad guys: most of the fixed browser-exploitable vulnerabilities discovered to date were ineffective if JavaScript was disabled. Maybe the reason is that scripts are easier to test and search for holes, even if you're a newbie hacker: everybody and his brother believe to be a JavaScript programmer :P

  2. Java has a better history, at least in its "standard" incarnation, the Sun JVM.There have been viruses, instead, written for the Microsoft JVM, like the ByteVerifier.Trojan. Anyway, the Java security model allows signed applets (applets whose integrity and origin are guaranteed by a digital certificate) to run with local privileges, i.e. just like they were regular installed applications. This, combined with the fact there are always users who, in front of a warning like "This applet is signed with a bad/fake certificate. You DON'T want to execute it! Are you so mad to execute it, instead? [Never!] [Nope] [No] [Maybe]", will search, find and hit the "Yes" button, caused some bad reputation even to Firefox (notice that the article is quite lame, but as you can imagine had much echo).

  3. Flash used to be considered relatively safe, but since its usage became so widespread severe security flaws have been found at higher rate. Flash applets have also been exploited to launch XSS attacks against the sites where they're hosted.>

  4. Other plugins are harder to exploit, because most of them don't host a virtual machine like Java and Flash do, but they can still expose holes like buffer overruns that may execute arbitrary code when fed with a specially crafted content. Recently we have seen several of these plugin vulnerabilities, affecting Acrobat Reader, Quicktime, RealPlayer and other multimedia helpers.

Please notice that none of the aforementioned technologies is usually (95% of the time) affected by publicly known and still unpatched exploitable problems, but the point of NoScript is just this: preventing exploitation of even unknown yet security holes, because when they are discovered it may be too late ;) The most effective way is disabling the potential threat on untrusted sites.

    
ответ дан Pedram 04.04.2011 в 18:47
5

В теории вы можете получать вирусы в Linux и Mac OS. Причина большинства людей в том, что Linux и Mac OS не являются крупными целями. Авторы вредоносных программ хотят использовать широкую сеть с минимальными усилиями. Во-вторых, Linux / Unix предлагает больше возможностей для безопасности и информированных пользователей (в целом). При этом я использую Flashblock и No Script для Windows, Mac OS X и Ubuntu в любое время. Страницы загружаются быстрее, это помогает с онлайн-анонимностью, предотвращая флеш-куки и все другие проблемы. Я настоятельно рекомендую их, независимо от платформы. Как минимум, они заставляют вас больше понимать, какие страницы пытаются сделать.

    
ответ дан manyxcxi 04.04.2011 в 18:32
4

Я регулярно использую NoScript на Firefox и рекомендую его для ежедневного использования.

Он не блокирует объявления, поэтому вы по-прежнему поддерживаете расходы на сайт для своих администраторов.

Однако он блокирует флэш-объявления, что значительно снижает нагрузку на процессор при просмотре (при условии, что у вас установлен плагин Flash)

Вы можете индивидуально разрешать контент для запуска, поэтому большинство сайтов для обмена видеороликами начнут работать после того, как вы разрешите скрипты, связанные с воспроизведением видео (это может немного угадать, если на странице несколько скриптов). Предоставленные вами разрешения могут быть временными для сеанса или постоянными, поэтому сайт будет работать, если вы не решите заблокировать их снова.

При заполнении форм, таких как регистрация сайта, рекомендуется дополнить скрипты перед заполнением форм, чтобы вам не пришлось повторять свою работу. Разрешение скрипта на странице заставляет перезагружать страницу.

Самая важная защита NoScript предоставляет вам вредоносные сайты, которые пытаются изменить размер вашего окна, размещать контент на социальных сайтах или делать что-то еще нежелательное. NoScript изменяет действие по умолчанию для отказа, и вы можете выбрать для каждого сайта, если будете судить о том, что сценарии заслуживают доверия.

Вот ссылка для установки Firefox: Ссылка

    
ответ дан Joni Nevalainen 09.04.2011 в 23:08